Security Bulletin 13.15 :: WordPress Remote Code Execution
DiWiSH-Mitglied Markus Manzke von MARE system hat auf eine Lücke im aktuellen Wordpress hingewiesen, die es potentiellen Angreifen erlaubt, serverseitige Befehle mit den Rechten des Webservers auszuführen (RemoteCodeExecution).
Ein POC (proof of concept - es gibt eine Sicherheitslücke diese wurde aber noch nicht wiederholbar ausgenutzt) kursiert noch nicht, es wurden vom Finder der Lücke aber bereits ausnutzbare Wordpress-Plugins gefunden.
Wordpress hat Updates in der Version 3.6.1 bereitgestellt, die die Lücke schließen. Die Aktivierung der Updates sind dringend angeraten.
Nähere Informationen finden Sie hier:
1. vagosec.org/2013/09/wordpress-php-object-injection/
2. wordpress.org/news/2013/09/wordpress-3-6-1/